云安全产业链推动云安全进程

　　为什么要说这样的话?云安全联盟中国区高峰论坛上一位嘉宾说，“水壶烧出的水汽绝对不是云”。那么云安全的问题，也就需要整个信息安全产业，就云安全达成共识。云是互联网和大规模数据中心不断发展的必然产物。在未来10年里，云必将成为影响整个IT行业的关键性技术，也会对现有的信息技术体系架构带来了深远的影响，云安全也随之成为一个重要问题。

　　云计算是什么?

　　提到云安全，不能不说云计算。早在2000年的时候，国际上已经有人提出网格计算与分布式计算的概念，随着信息产业及市场的日益成熟，这个概念经过商业化运作，有了初步的框架，进而形成了云计算的雏形。绿盟科技副总裁吴云坤表示，云计算并不是新东西，它所改变的只是运营方式、用户交互方式以及营销方式等，可以说这是一种新的商业模式。正是这样的转变，让各个领域、各个行业的厂商及企业，会根据业务及市场的特性，就云计算的定义提出各自的观点。

　　Frost & Sullivan市场研究机构提出，云计算是一种灵活的、可扩展的共享环境，第三方供应商利用虚拟化技术，基于按需提供的平台，通过互联网向客户提供及分配计算资源。国际云安全联盟，在征询国际业界广泛的意见和实践经验后，指出云计算应该包含如下方面：

　　• 按需供应，必须是密切结合业务需求，按照需求提供资源及服务

　　• 弹性，随业务拓展可以灵活的调整及拓展架构

　　• 多层租用，根据不同业务，不同受众，可以提供不同资源、不同形式的租用服务

　　• 云包含如下特征模块：

　　基础架构即服务Infrastructure as a Service (IaaS)，包含基本的IT架构，比如操作系统，比如存储

　　平台即服务Platform as a Service (PaaS)，包含IaaS以及快速应用设备

　　软件即服务Software as a Service (SaaS)，包含所有的应用程序

　　共有云，私有云，社区以及混合云部署

　　下面这张图，对云给出了一个可视化的呈现，说明了云计算的服务交付模式，以及如何部署云。

　　图1 云计算架构

　　云安全产业

　　云计算所带来的深远影响，让绿盟科技以及安全业界的先行者们清晰的认识到，云计算所面临的挑战。IDC市场调研机构数据显示，云计算服务将在2013年达到整体IT消费的10%，年收益高达442亿美元，5年内年平均增长是26%，这是传统IT行业增长速度的6倍。而Frost & Sullivan市场研究机构，在2009年年末，对亚太区6个市场，300个大型企业，500人以上的大型企业他们的IT决策人做了一项云计算的调查。调查数据显示，55.3%的人担忧云安全问题，尤其是数据安全性。毫无疑问，云计算的蓬勃发展，已经让云安全已经上升到产业的高度。

　　云安全产业链条，包括了云安全环境，云安全设计，云安全部署，云安全交付，云安全管理，再到云安全咨询，这是一个闭环。IDC 报告指出，云安全性包含至少两个层次，一是制约用户接受云计算的信用环境问题，这是云计算得以广泛应用的基础,也是推广门槛，然后才是云计算的应用安全。而其中良好的信用环境是技术层面的云计算安全之基础，也就是说，只有用户认可并采用云服务，才谈得上的云安全技术问题。

　　那么就云计算的信用环境来说，一方面是云计算提供商方面要树立自身的信誉，构造可信的云;另一方面是云安全服务商方面，要对互联网资源建立安全信誉评估系统，以对抗云攻击的“地下产业链”。这方面，Google和StopBadware走在了前面，随后国内安全业界的厂商也认识到这一点，纷纷采取了相应的措施。2009年，绿盟科技发布互联网信誉服务白皮书，并提供信誉评估服务。根据多年的安全研究积累，绿盟科技对互联网相关资源进行威胁分析和信誉评级，累积IP地址、域名和URL等不同资源的内容和行为记录。同时，汇集了来自于授权客户和第三方合作伙伴的威胁反馈、自身安全产品的安全事件以及安全研究团队的风险预警，与目标站点的历史信息进行整合，建立针对互联网领域的长期信誉追踪机制。正是这样的积累，让绿盟科技在2010年8月，正式与StopBadware达成战略合作，继Google之后，成为其数据提供商。

　　而就云安全技术方面来说，云安全主要面临这些挑战：

　　• 云计算的滥用、恶用、拒绝服务攻击

　　• 不安全的接口和API

　　• 恶意的内部攻击

　　• 共享技术产生的问题

　　• 数据泄漏

　　• 账号和服务劫持

　　• 未知的风险场景

　　云安全如何定义

　　面对这些挑战，我们应该从哪些层面入手，才能实现安全云呢?从IT架构管理来看，企业敏感数据，尤其是涉密企业，出于安全性考虑，目前还会以私有云为主，在未来的一段时间，才会逐步过渡到共有云;从产业和市场发展，云安全还处在初级阶段，从未有一个厂家的产品可以囊括云安全所有层面，也未能提出一个完整的解决方案。

　　要对云安全有一个全面的认知，必须认识到云安全是动态的，是不断演变的。云安全解决方案必须与应用及服务充分结合，并适应业务的发展需求。云安全联盟提出，应该从治理和运营两个方面入手：

　　云安全治理：

　　• Best opportunity to secure cloud engagement is before procurement – contracts, SLAs, architecture

　　• Know provider’s third parties, BCP/DR, financial viability, employee vetting

　　• Knowing where your data is

　　• Plan for provider termination & return of assets

　　• Preserve right to audit

　　• Reinvest provider cost savings into due diligence

　　云安全运营：

　　• Encrypt data when possible, segregate key mgt from cloud provider

　　• Adapt secure software development lifecycle

　　• Understand provider’s patching, provisioning, protection

　　• Logging, data exfiltration, granular customer segregation

　　• Hardened VM images

　　• Assess provider IdM integration, e.g. SAML, OpenID

　　如何做到云安全

　　那么用户该如何选择云安全服务，又怎么才能做到云安全? 国际云安全联盟发布的云安全指南指出，云安全要覆盖云安全完整的生命周期，并完成最佳实践以及分析工具。在云安全完整的生命周期中，理想的云安全状态至少应该包括安全治理、识别、访问控制、数据保护以及审核，最终实现安全即服务(Security as a Service)。

　　要实现这些，云安全治理及运营至少应该包含13个领域，包括：

　　而云安全分析工具，要区分用户及供应商角色，并完全遵从于ISO 27001, COBIT, PCI, HIPAA等国际标准，从而弥补管理者及云安全审核之间的差距。云安全联盟为此提供了云安全控制矩阵工具，请访问Cloud Security Alliance官方主页。

　　正是遵循这样的云安全治理与运营原则，绿盟科技作为中国安全业的领先者，多年来始终致力于网络安全的研究，并一直积极推动国内云安全的发展。2008年，绿盟科技宣布正式启动云安全计划，成为国内第一家进入云计算和云安全领域的网络安全厂商。云安全计划中包含具备多种能力类型的安全云，目的是通过对互联网进行大规模集中分析和汇总，在全球范围内大规模部署中心服务器群，覆盖入侵防御、漏洞扫描、挂马防范、流量清洗等方面，全面检测恶意网站与异常流量，提供了在大范围网络环境下解决云安全问题的全新思路，这种模式已经在多个运营商骨干网和城域网得到了广泛的部署。